Category Archives: Security

Wahre Risiken im Flugverkehr

Bitte, bitte, sorgt doch einfach für stabile Software im Flugverkehr, anstatt Flugreisende zu gängeln. Warum lasse ich mir es eigentlich gefallen, dass meine Schuhe durchleuchtet werden und ich meine Zahnpasta in durchsichtige Tüten packen muss, wenn die wahren Risiken so aussehen:

Application Error am Flughafen

Da passt diese Meldung vom 13.08.2007 ganz gut, nachdem 6.000 Passagiere durch eine Computerpanne am Flughafen Los Angeles nicht in die USA einreisen durften.

It’s not a Bug, it’s a Feature: Internet-Explorer verrät FTP Zugangsdaten

Wer per FTP mit dem Internet-Explorer HTML-Dateien herunterlädt handelt sich unter Umständen ein Sicherheitsproblem ein. Wie Blogger Brian Krebs schreibt, enthält die gespeicherte Datei in einer Kommentarzeile die Zugangsdaten zum FTP-Server.

Wer also eine solche HML-Datei unbereinigt wieder ins Web stell, gibt so unfreiwillig seine FTP-Zugangsdaten preis. Wie auch Heise Online meldet, sieht Microsoft in dieser Funktion nicht zwingend ein Sicherheitsproblem:

…der Internet Explorer nicht als vollwertiger FTP-Client gedacht sei. Der Grund warum die URL im Dokument gespeichert werde, sei die Zuordnung zu einer Sicherheitszone, falls das Dokument zu einem späteren Zeitpunkt nochmals lokal geöffnet werde. Name und Passwort würden deshalb auftauchen, da sie Bestandteil einer gültigen URL seien…

In Redmond herrscht wohl die Meinung: It’s not a Bug, it’s a feature.

Einen besonderes Erlebnis ist es in Google mit folgender Keyword-Suche auf die Pirsch zu gehen:

„<!– saved from url=“+“ftp://“

Security by obscurity: Das Problem der Typo3 Plugins

Typo3 ist eines der erfolgreichsten Content-Management Systeme. Das Open Source System ist weit verbreitet und hat eine große Entwickler-Community, die Bugs behebt und Schwachstellen ausmerzt.

Das Kernsystem hat Sicherheitsaudits bestanden und wird unter anderem auch von Banken für deren Internet-Auftritt verwendet. Alles Sicher, alles Bestens könnte man meinen.

Denkste. Die besten Sicherheitsaudits und Community-Reviews taugen nichts, wenn das Qualitätsmanagement leicht ausgehebelt werden kann. In Typo3 geschieht dies durch „Extension“, Erweiterungen des Kernsystems, die die Entwickler-Community über den Extension-Manager miteinander austauschen.

So beschreibt der TYPO3 Security Blog, wie leichtfertig einige TYPO3-Anwender mit einer Sicherheitslücke bei der Erweiterung „ftp-Brower“ umgehen:

“ftpbrowser” wurde insgesamt über 4500 mal aus dem TER heruntergeladen – der zugehörige Security Fix bis heute (10 Tage nach dem Bulletin) aber nicht mal 100 mal! Und “fechangepassword” sowie “civserv” weisen ähnlich schlechte Raten auf.

Neben den Mängeln im Update-Verfahren, gibt es ein generelles Problem in der Nutzung der Extension-Repository.

Denn im Gegensatz zum Systemkern, finden bei den beigesteuerten Erweiterungen nur selten intensive Code-Reviews durch die Community statt. Es gibt auch kein angewandtes Qualitätsmanagement, welches die Aufnahme einer Erweiterung in das Repository standardisiert überwacht und regelt.

Die Folge: das Repository beinhaltet Unmengen von Erweiterungen, von den einen Großteil sich durch lückenhafte Dokumentation der Programmierung auszeichnen. Zudem gibt es zahlreiche Forks von Erweiterungen, anstatt die Sourcebasis einer Erweiterung über Versionsmanagement zu verwalten.

Und nur das Denkmodell einer böswillig eingeschleusten Schadsoftware in einer niedlichen Extension ist beunruhigend. Wo keine Kontrolle stattfindet, ist die Versuchung groß…

Es herrscht also Chaos im Extension-Repository. Ein gefährliches Chaos. Denn eine schlecht programmierte Erweiterung kann dazu führen, dass das TYPO3-System kompromittiert wird. Eine Schwachstelle in einer Erweiterung ist unter Umständen auch eine Schwachstelle in TYPO3.

Doch was tun?

Zunächst muss man bei der Einbindung von Erweiterungen aus dem TYPO3 Repository Vorsicht walten lassen. Entwickler sollten sich denSourcecode der verwendeten Extension genau anschauen.

Innerhalb der TYPO3 Community muss für das Repository ein QM Prozess definiert werden. Unter Umständen führt dies, dazu das Erweiterungen die den Qualitätsstandard nicht erfüllen als „unsicher“ gekennzeichnet werden müssen. Doch um dies zu bewerkstelligen braucht die Community Manpower um Reviews durchzuführen.

Wurde eine Schwachstelle in einer Extension entdeckt, müsste diese Nachricht per Feed automatisch in das Backend von Typo3 eingeblendet werden. Wenn ein Administrator deutlich zum Update aufgefordert wird, kann er zur Tat schreiten. In diesem Punkt finde ich die Update-Information bei WordPress sehr gut gelöst.

An diesem Punkt muss die Diskussion in der Community fortgeführt werden. In der Zwischenzeit heißt es für Entwickler: schau Dir die Extension sehr genau an, die du verwenden möchtest.

Virenspam mit Google-Absender

Auch eine vermeintliche E-Mail von Google bekommen, mit dem Betreff „Entfernung Ihrer Webseite www.xyz.de aus dem
Google Index
„?

Keine Panik!

Diese E-Mail wird nicht von Google versendet, sondern ist eine Fälschung! Je nach Variante, erhalten Empfänger diese E-Mail mit oder ohne Virus-Datei-Anhang.

E-Mail einfach ungeöffnet in den Papierkorb werfen und vergessen.

Der Text der E-Mail:

Absender:
Google Search Quality DO NOT REPLY

Betreff:
Entfernung Ihrer Webseite „www.xyz.de“ aus dem Google Index

Nachrichtentext:
Sehr geehrter Seiteninhaber oder Webmaster der Domain ,

bei der Indexierung Ihrer Webseiten mussten wir feststellen, dass auf Ihrer Seite Techniken angewendet werden, die gegen unsere Richtlinien verstossen. Sie finden diese Richtlinien unter folgender Webadresse:

http://www.google.de/webmasters/guidelines.htmlUm die Qualitaet unserer Suchmaschine sicherzustellen, haben wir bestimmte Webseiten zeitlich befristet aus unseren Suchergebnissen entfernt. Zurzeit sind Seiten von fuer eine Entfernung ueber einen Zeitraum von wenigstens 30 Tagen vorgesehen.

Wir haben auf Ihren Seiten insbesondere die Verwendung folgender Techniken

festgestellt:

*Seiten wie z. B. www.xyz.de, die zu Seiten wie z. B.

http://www.xyz.de/index.htm mit Hilfe eines Redirects weiterleiten, der nicht mit unseren Richtlinien konform ist.

Gerne wollen wir Ihre Seiten in unserem Index behalten. Wenn Sie wollen,, dass Ihre Seiten wieder von uns akzeptiert werden, korrigieren oder entfernen Sie bitte alle Seiten, die gegen unsere Richtlinien verstossen. Wenn dies erfolgt ist, besuchen Sie bitte die folgende Webadresse, um weitere Informationen zu erhalten und einen Antrag auf Wiederaufnahme in unseren Suchindex zu stellen:

https://www.google.com/webmasters/sitemaps/reinclusion?hl=de

Anbei erhalten Sie ein Google Webmastertool um Ihre Seite erneut zu indexieren.
Google Search Quality Team

Update: Yigg gehackt?!?

 Mitwoch 17.57 Uhr: YIGG.de alle Meldungen sind weg!

Lapidarer Text bei allen YIGG Einträgen:

„Datenbank geleert. Uhm ja zuviel kaffee, nix backups und so.. damn“

Screenshot:

Yigg Hack

Update I – Enrico von YiGG.de schrieb um 18:51 hier einen Kommentar:

Die Datenbankmeldung vonwegen das alle Einträge weg sind ist fast ein jahr alt und stammt von mir, wenn was weg ist dann nur von heute, backups werden täglich erstellt.

Nur soviel, ein Zugriff direkt auf den Server ist nicht erfolgt, ich geh momentan von einem fehlerhaften inputcheck und einer daraus resultierenden SQL-Injection aus.

Wichtige Benutzerrelevante Daten liegen auf YiGG auch nicht vor.

momentan sind wir am evaluieren was genau passiert ist, bis der bug gefunden und behoben wurde wird yigg jedenfalls erstmal offline bleiben.

Und dem Kommentar von Bloodsucker schlies ich mich an.

Update II: Sicherheitshalber wurde auch die Datenbank des YiGG.de Blog abgeschaltet.

Update III: Heute morgen ist YiGG.de wieder online.

1 5 6 7